Cifrado de Amazon Bedrock Studio - Amazon Bedrock
Crear una clave administrada por el cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de Amazon Bedrock Studio

Amazon Bedrock Studio está en versión preliminar para Amazon Bedrock y está sujeta a cambios.

El cifrado de los datos en reposo de forma predeterminada ayuda a reducir la sobrecarga operativa y la complejidad que implica la protección de los datos confidenciales. Al mismo tiempo, le permite crear aplicaciones seguras que cumplen con los estrictos requisitos normativos y de conformidad con el cifrado.

Amazon Bedrock Studio utiliza claves predeterminadas propiedad de AWS para cifrar automáticamente los datos en reposo. No puede ver, administrar ni auditar el uso de las claves que sean propiedad de AWS. Para obtener más información, consulte Claves propiedad de AWS.

Si bien no puede deshabilitar esta capa de cifrado ni seleccionar un tipo de cifrado alternativo, puede agregar una segunda capa de cifrado a las claves de cifrado propiedad de AWS. Para ello, elija una clave administrada por el cliente al crear sus dominios de Amazon Bedrock Studio. Amazon Bedrock Studio admite el uso de una clave simétrica administrada por el cliente que usted crea, posee y administra para agregar una segunda capa de cifrado al cifrado existente propiedad de AWS. Como usted tiene el control total de esta capa de cifrado, podrá realizar las siguientes tareas en ella:

  • Establecer y mantener políticas de claves.

  • Establecer y mantener políticas y concesiones de IAM.

  • Habilitar y deshabilitar políticas de claves.

  • Rotar el material criptográfico.

  • Agregar etiquetas.

  • Crear alias de claves.

  • Programar la eliminación de claves.

Para obtener más información, consulte Claves administradas por el cliente.

nota

Amazon Bedrock Studio habilita automáticamente el cifrado en reposo mediante claves propiedad de AWS para proteger los datos de los clientes sin costo alguno.

Se aplicarán cargos de AWS KMS cuando utilice una clave administrada por el cliente. Para obtener más información acerca de los precios, consulte Precios de AWS Key Management Service.

Crear una clave administrada por el cliente

Puede crear una clave simétrica administrada por el cliente mediante la consola de administración de AWS o las API de AWS.

Para crear una clave simétrica administrada por el cliente, siga los pasos indicados en Creación de clave simétrica administrada por el cliente de la Guía para desarrolladores de AWS.

Política de claves: las políticas de claves controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administración del acceso a las claves administradas por el cliente en la Guía para desarrolladores de AWS Key Management Service.

nota

Si utiliza una clave administrada por el cliente, asegúrese de etiquetar la clave de AWS KMS con la clave EnableBedrock y con un valor de true. Para obtener más información, consulte Claves de etiquetado

Para utilizar su clave administrada por el cliente con sus recursos de Amazon Bedrock Studio, en la política de claves deben permitirse las siguientes operaciones de la API:

  • kms:CreateGrant: añade una concesión a una clave administrada por el cliente. Otorga el acceso de control a una clave de KMS específica, que permite acceder a las operaciones de concesión que requiere Amazon Bedrock Studio. Para más información sobre el uso de concesiones, consulte la Guía para desarrolladores de AWS Key Management Service.

  • kms:DescribeKey: proporciona los detalles de la clave administrada por el cliente para permitir que Amazon Bedrock Studio valide la clave.

  • kms:GenerateDataKey: devuelve una clave de datos simétrica única para usarla fuera de AWS KMS.

  • KMS:Decrypt: descifra texto cifrado con una clave de KMS.

El siguiente es un ejemplo de instrucciones de política que puede agregar para Amazon Bedrock Studio. Para utilizar la política, haga lo siguiente:

  • Sustituya las instancias de \{FIXME:REGION\} por la región de AWS que está utilizando y \{FIXME:ACCOUNT_ID\} por su ID de cuenta de AWS. Los caracteres \ no válidos del JSON indican dónde debe realizar las actualizaciones. Por ejemplo, "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*" sería "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:use-east-1:111122223333:agent/*".

  • Cambie \{provisioning role name\} por el nombre del rol de aprovisionamiento que usará para el espacio de trabajo que usa la clave.

  • Cambie \{Admin Role Name\} por el nombre del rol de IAM que tendrá privilegios de administración para la clave.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "Enable IAM User Permissions Based on Tags",
    "Effect": "Allow",
    "Principal": {
      "AWS": "*"
    },
    "Action": [
      "kms:Decrypt",
      "kms:GenerateDataKey",
      "kms:GenerateDataKeyPair",
      "kms:GenerateDataKeyPairWithoutPlaintext",
      "kms:GenerateDataKeyWithoutPlaintext",
      "kms:Encrypt"
    ],
    "Resource": "\{FIXME:KMS_ARN\}",
    "Condition": {
      "StringEquals": {
        "aws:PrincipalTag/AmazonBedrockManaged": "true",
        "kms:CallerAccount" : "\{FIXME:ACCOUNT_ID\}"
      },
      "StringLike": {
        "aws:PrincipalTag/AmazonDataZoneEnvironment": "*"
      }
    }
  },
    {
      "Sid": "Allow Amazon Bedrock to encrypt and decrypt Agent resources on behalf of authorized users",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:bedrock:arn": "arn:aws:bedrock:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:agent/*"
        }
      }
    },
    {
      "Sid": "Allows AOSS list keys",
      "Effect": "Allow",
      "Principal": {
        "Service": "aoss.amazonaws.com"
      },
      "Action": "kms:ListKeys",
      "Resource": "*"
    },
    {
      "Sid": "Allows AOSS to create grants",
      "Effect": "Allow",
      "Principal": {
        "Service": "aoss.amazonaws.com"
      },
      "Action": [
        "kms:DescribeKey",
        "kms:CreateGrant"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringEquals": {
          "kms:ViaService": "aoss.\{FIXME:REGION\}.amazonaws.com"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    },
    {
      "Sid": "Enable Decrypt, GenerateDataKey for DZ execution role",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:root"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "\{FIXME:KMS_ARN\}",
      "Condition": {
        "StringLike": {
          "kms:EncryptionContext:aws:datazone:domainId": "*"
        }
      }
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RetireGrant"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "kms:CallerAccount": "\{FIXME:ACCOUNT_ID\}"
        },
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    },
    {
      "Sid": "AllowPermissionForEncryptedGuardrailsOnProvisioningRole",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{provisioning role name\}"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant",
        "kms:Encrypt"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow use of CMK to encrypt logs in their account",
      "Effect": "Allow",
      "Principal": {
        "Service": "logs.\{FIXME:REGION\}.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyPair",
        "kms:GenerateDataKeyPairWithoutPlaintext",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:\{FIXME:REGION\}:\{FIXME:ACCOUNT_ID\}:log-group:*"
        }
      }
    },
    {
      "Sid": "Allow access for Key Administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::\{FIXME:ACCOUNT_ID\}:role/\{Admin Role Name\}"
      },
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*",
        "kms:TagResource",
        "kms:UntagResource",
        "kms:ScheduleKeyDeletion",
        "kms:CancelKeyDeletion"
      ],
      "Resource": "*"
    }
  ]
}

Para obtener más información sobre la especificación de permisos en una política, consulte la Guía para desarrolladores de AWS Key Management Service.

Para obtener más información sobre la solución de problemas de acceso a claves, consulte la Guía para desarrolladores de AWS Key Management Service.